TROJ_NEUREVT.TVG
Win32/Neurevt.I (ESET-NOD32); Trojan-Ransom.NSIS.Onion.je (Kaspersky); RDN/Ransom!ey (McAfee); W32/CAXO!tr (Fortinet); Trojan:Win32/Skeeyah!bit (Microsoft)
Windows
Type de grayware:
Trojan
Destructif:
Non
Chiffrement:
In the wild::
Oui
Overview
Löscht sich nach der Ausführung selbst.
Détails techniques
Installation
Schleust die folgenden Eigenkopien in das betroffene System ein und führt sie aus:
- %ProgramData%\Windows Search 5.3.10\{random filename}.exe (for Windows Vista and above)
- %Program Files%\Common Files\Windows Search 5.3.10\{random filename}.exe (for Windows XP and below)
(Hinweis: %Program Files%ist der Standardordner 'Programme', normalerweise C:\Programme.)
Schleust die folgenden Dateien ein:
- %Application Data%\11 The Notorious B.I.G. - Everyday Struggle.flac
- %User Temp%\{random characters}.tmp\stripers.dll
- %ProgramData%\Windows Search 5.3.10\desktop.ini (for Windows Vista and above)
- %Program Files%\Common Files\Windows Search 5.3.10\desktop.ini (for Windows XP and below)
(Hinweis: %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000, XP und Server 2003.. %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000, XP und Server 2003.. %Program Files%ist der Standardordner 'Programme', normalerweise C:\Programme.)
Erstellt die folgenden Ordner:
- %ProgramData%\Windows Search 5.3.10 (for Windows Vista and above)
- %Program Files%\Common Files\Windows Search 5.3.10 (for Windows XP and below)
(Hinweis: %Program Files%ist der Standardordner 'Programme', normalerweise C:\Programme.)
Autostart-Technik
Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
Windows Search 5.3.10 = "%Program Files%\Common Files\Windows Search 5.3.10\{random filename}.exe" (for Windows XP and below)
HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
Windows Search 5.3.10 = "%Program Files%\Common Files\Windows Search 5.3.10\{random filename}.exe" (for Windows XP and below)
HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Windows\CurrentVersion\RunOnce
Windows Search 5.3.10 = "%ProgramData%\Windows Search 5.3.10\{random filename}.exe" (for Windows Vista and above)
HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
Windows Search 5.3.10 = "%ProgramData%\Windows Search 5.3.10\{random filename}.exe" (for Windows Vista and above)
Fügt die folgenden "Image File Execution Options"-Registrierungseinträge hinzu, um sich beim Starten bestimmter Anwendungen automatisch selbst auszuführen:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
{filename}.exe
Debugger = ""%ProgramData%\Windows Search 5.3.10\{random filename}.exe" /uac /ifeo" (for Windows Vista and above)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
{filename}.exe
Debugger = ""%Program Files%\Common Files\Windows Search 5.3.10" /uac /ifeo" (for Windows XP and below)
Andere Systemänderungen
Fügt die folgenden Registrierungsschlüssel hinzu:
HKEY_CURRENT_USER\Software\AppDataLow\
Software\{UID}
HKEY_CURRENT_USER\Software\AppDataLow\
Software\MyMailClient
HKEY_CURRENT_USER\Software\AppDataLow\
Google Updater (for Windows Vista and above)
HKEY_CURRENT_USER\Software\Logitech, Inc. (for Windows XP and below)
Fügt die folgenden Registrierungseinträge als Teil der Installationsroutine hinzu:
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings\
Zones\1
2500 = "3"
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings\
Zones\2
2500 = "3"
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings\
Zones\3
2500 = "3"
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings\
Zones\4
2500 = "3"
HKEY_CURRENT_USER\Software\AppDataLow\
Google Updater
LastUpdate = "{hex values}" (for Windows Vista and above)
HKEY_CURRENT_USER\Software\Logitech, Inc.
WindowLayout = "{hex values}" (for Windows XP and below)
HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Main
NoProtectedModeBanner = "1"
Andere Details
Löscht sich nach der Ausführung selbst.